Modello Organizzativo, di Gestione e Controllo VOLKSWAGEN BANK

Transcript

1 Modello Organizzativo, di Gestione e Controllo ex D.Lgs. 231/2001 VOLKSWAGEN BANK Versione 1.1 Documento approvato dal Comitato Direttivo con delibera del 13 luglio 2011 Ver. 1.1: approvato dal Comitato Direttivo con delibera del 13/03/2013 Abstract MOCG

2 INDICE PARTE GENERALE PREMESSA GLOSSARIO LA NORMATIVA DI RIFERIMENTO LE FATTISPECIE DI REATO DELITTI TENTATI AUTORI DEL REATO: SOGGETTI IN POSIZIONE APICALE E SOGGETTI SOTTOPOSTI ALL ALTRUI DIREZIONE MODIFICHE ALL ENTE I MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO I MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX ART. 30 DEL D.LGS. 81/08 (TUTELA DELLA SALUTE E DELLA SICUREZZA NEI LUOGHI DI LAVORO) LA SCELTA DI VOLKSWAGEN BANK LA METODOLOGIA SEGUITA PER L INDIVIDUAZIONE DELLE ATTIVITÀ SENSIBILI IL MOGC I RIFERIMENTI GLI OBIETTIVI LA STRUTTURA DEL MOGC IL SISTEMA ORGANIZZATIVO IL SISTEMA DI GESTIONE AZIENDALE LE ATTIVITÀ SENSIBILI (EX ART. 6 COMMA 2 LETTERA A) LA FORMAZIONE E L ATTUAZIONE DEL PROCESSO DECISIONALE (EX ART. 6 COMMA 2 LETTERA B) LE MODALITÀ DI GESTIONE DELLE RISORSE FINANZIARIE (EX ART. 6 COMMA 2 LETTERA C) L'ORGANISMO DI VIGILANZA GLI OBBLIGHI DI INFORMAZIONE NEI CONFRONTI DELL'ORGANISMO DI VIGILANZA (EX ART. 6 COMMA 2 PUNTO D) 15 8 IL SISTEMA DISCIPLINARE (EX ART. 6 COMMA 2 LETTERA E) LINEE DI CONDOTTA FORMAZIONE, DIFFUSIONE, RIESAME E AGGIORNAMENTO DEL MOGC PARTE SPECIALE I PROTOCOLLI

3 PARTE GENERALE 1 PREMESSA Il presente documento descrive il Modello di Organizzazione, Gestione e Controllo (di seguito denominato MOGC) ex D.Lgs. n. 231/2001 adottato VOLKSWAGEN BANK volto a prevenire la realizzazione dei reati espressamente previsti dal Decreto. Il documento è articolato nei seguenti capitoli: la normativa di riferimento, che riporta in sintesi la struttura e gli elementi ritenuti fondamentali per l adeguamento al Decreto 231 del 2001; la metodologia seguita per l individuazione delle attività sensibili; il MOGC, che descrive l impostazione del Modello di Organizzazione, Gestione e Controllo adottato dalla Società; il Sistema Organizzativo, che descrive la documentazione inerente i processi organizzativi adottati dalla Società; l Organismo di Vigilanza, indica le linee guida che detto organismo deve tenere al fine di verificare la tenuta e la corretta manutenzione del Modello di Organizzazione, Gestione e Controllo; il Sistema Disciplinare; le linee di condotta 231, che cita le linee di comportamento da tenere nei rapporti con i diversi interlocutori della Società; formazione, diffusione, riesame e aggiornamento del MOGC. Protocolli GLOSSARIO Nel presente documento si intendono per: - Autorità: Autorità Giudiziaria, Istituzioni e Pubbliche Amministrazioni locali, nazionali ed estere, Consob, Banca d'italia, Antitrust, Borsa Italiana, Garante della privacy e altre Autorità di vigilanza italiane ed estere. - Attività a rischio reato: operazione o atto che espone la Società al rischio di commissione di uno dei Reati contemplati dal Decreto. - C.D.: Comitato Direttivo. - CCNL: Contratto Collettivo Nazionale di Lavoro. - D.Lgs. 231: il Decreto Legislativo dell 8 giugno 2001 n. 231, recante «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell articolo 11 della legge 29 settembre 2000, n. 300», e successive modifiche ed integrazioni. 3

4 - MOGC: il Modello di Organizzazione, Gestione e Controllo ex art. 6, c. 1, lett. a), del D.Lgs. n. 231/ Società: VOLKSWAGEN BANK - Soggetti apicali: le persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché persone che esercitano, anche di fatto, la gestione e il controllo aziendale ai sensi dell art. 5, comma 1, lettera a) del D.Lgs. n. 231/2001. Tali soggetti sono stati identificati nei membri del Comitato Direttivo di VOLKSWAGEN BANK. - Sottoposti: le persone sottoposte alla direzione o alla vigilanza dei Soggetti apicali ai sensi dell art. 5, comma 1, lettera b) del D.Lgs. n. 231/ Destinatari: Soggetti apicali e Sottoposti. - Ente: soggetto fornito di personalità giuridica, società ed associazioni anche prive di personalità giuridica. - Organo Dirigente: vedi Soggetti apicali. - Organismo di Vigilanza: l organismo dotato di autonomi poteri di vigilanza e controllo cui è affidata la responsabilità di vigilare sul funzionamento e l'osservanza del MOGC e di curarne l'aggiornamento. - P.A.: la Pubblica Amministrazione locale, nazionale e comunitaria, inclusi i relativi funzionari ed i soggetti incaricati di pubblico servizio. - Processo o attività sensibile: processo/attività nel cui ambito ricorre il rischio di commissione dei reati, nelle cui fasi, sottofasi o attività si potrebbero in linea di principio configurare le condizioni, le occasioni o i mezzi per la commissione di reati anche in concorso con altri Enti. - Reati: i reati ai quali si applica la disciplina prevista dal D.Lgs. n. 231/ Sistema Disciplinare: insieme delle misure sanzionatorie applicabili da VOLKSWAGEN BANK in caso di violazione del MOGC in conformità alle normative vigenti. 3 LA NORMATIVA DI RIFERIMENTO Il Decreto Legislativo 8 giugno 2001, n. 231 attuativo della delega disposta dall art 11, Legge n. 300/2000 ha compiuto un innovazione epocale nel nostro ordinamento giuridico, prevedendo una forma di responsabilità diretta, di carattere punitivo, posta a carico delle persone giuridiche che sono chiamate a rispondere davanti al giudice penale per la consumazione di un reato, commesso da un proprio dirigente e/o un dipendente nell interesse della Società. Tale disciplina nazionale è frutto di una politica ultradecennale, comunitaria ed internazionale, di reazione alle condotte criminose degli enti, in particolare di lotta alla corruzione e di tutela degli interessi finanziari della Comunità europea. L Italia ha così dimostrato di volersi uniformare e costantemente adeguare alle raccomandazioni, alle risoluzioni e alle direttive adottate in sede europea, che si stanno succedendo nel corso degli anni. Il testo del Decreto prevede l elenco specifico, e perentorio, dei reati da cui discende la responsabilità amministrativa in capo all ente (secondo il principio di legalità), ma perché si possa arrivare all applicazione dell impianto sanzionatorio è necessario che l illecito sia stato commesso 4

5 nell interesse o a vantaggio dell ente medesimo, e che non sia stato compiuto nell interesse esclusivo del reo o di terzi. Si ritiene altresì rilevante sottolineare che le sanzioni in cui potrebbero incorrere gli enti sono così altamente invalidanti, quando non addirittura preclusive per lo svolgimento dell attività economica, che l adozione di un MOGC come indicato dal D.Lgs. n. 231/2001, seppure non abbia carattere di obbligatorietà, risulta essere una scelta strategica in una logica di prudente attività di compliance aziendale. 3.1 LE FATTISPECIE DI REATO I reati per i quali l ente può essere ritenuto responsabile ai sensi del d.lgs. 231/2001 se commessi nel suo interesse o a suo vantaggio dai soggetti qualificati ex art. 5, comma 1, del decreto stesso possono essere compresi, per comodità espositiva, nelle seguenti categorie: delitti contro la pubblica amministrazione (quali corruzione, malversazione ai danni dello Stato, truffa ai danni dello Stato e frode informatica ai danni dello Stato, richiamati dagli artt. 24 e 25 del d.lgs. 231/2001) ; delitti in materia di criminalità informatica (richiamati dall art. 24-bis d.lgs. 231/2001) ; delitti contro la fede pubblica (quali falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento, richiamati dall art. 25-bis d.lgs. 231/2001) ; delitti contro l'industria e il commercio (art. 25 bis.1 del D.Lgs. 231/2001) ; reati societari (quali false comunicazioni sociali, impedito controllo, illecita influenza sull assemblea, richiamati dall art. 25-ter d.lgs. 231/2001) ; delitti in materia di terrorismo e di eversione dell ordine democratico (richiamati dall art. 25-quater d.lgs. 231/2001) ; delitti di pratiche di mutilazione degli organi genitali femminili (richiamati dall art. 25-quater.1 d.lgs. 231/2001) ; delitti contro la personalità individuale (quali la prostituzione minorile, la pornografia minorile, la tratta di persone e la riduzione o mantenimento in schiavitù o in servitù, richiamati dall art. 25- quinquies d.lgs. 231/2001) ; reati in materia di abusi di mercato (abuso di informazioni privilegiate e manipolazione del mercato, richiamati dall art. 25-sexies d.lgs. 231/2001) ; reati transnazionali richiamati dall art. 10 della legge 16 marzo 2006, n. 146, di ratifica ed esecuzione della Convenzione e dei Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale, adottati dall Assemblea generale il 15 novembre 2000 e il 31 maggio 2001 ; delitti commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro (richiamati dall art. 25-septies d.lgs. 231/2001) ; delitti di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (richiamati dall art. 25-octies d.lgs. 231/2001) ; delitti in materia di violazione del diritto d'autore (art. 25 novies del D.Lgs. 231/2001) ; induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità di giudiziaria (art. 25 novies del D.Lgs. 231/2001) delitti di criminalità organizzata (art. 24-ter del D.Lgs. 231/2001). In base all art. 187-quinquies del d.lgs. 58/1998 (di seguito anche T.U. della finanza o TUF ), l ente può essere, altresì, ritenuto responsabile del pagamento di una somma pari all importo della sanzione 5

6 amministrativa pecuniaria irrogata per gli illeciti amministrativi di abuso di informazioni privilegiate (art. 187-bis d.lgs. 58/1998) e di manipolazione del mercato (187-ter d.lgs. 58/1998), se commessi, nel suo interesse o a suo vantaggio, da persone riconducibili alle categorie dei soggetti apicali e dei soggetti sottoposti all altrui direzione o vigilanza. Per quanto attiene l individuazione delle attività sensibili ai fini della commissione dei cosiddetti reati di criminalità organizzata (art. 24-ter) è stato stabilito di associare tale tipologia di evento a tutte le altre attività a rischio di commissione reati 231. Considerata la natura trasversale del reato stesso, può essere indicato come un reato accessorio. 3.2 DELITTI TENTATI Nelle ipotesi di commissione, nelle forme del tentativo, dei delitti rilevanti ai fini della responsabilità amministrativa degli enti, le sanzioni pecuniarie (in termini di importo) e le sanzioni interdittive (in termini di tempo) sono ridotte da un terzo alla metà, mentre è esclusa l irrogazione di sanzioni nei casi in cui l ente impedisca volontariamente il compimento dell azione o la realizzazione dell evento (art. 26 del d.lgs. 231/2001). L esclusione di sanzioni si giustifica, in tal caso, in forza dell interruzione di ogni rapporto di immedesimazione tra ente e soggetti che assumono di agire in suo nome e per suo conto. Si tratta di un ipotesi particolare del c.d. recesso attivo, previsto dall art. 56, comma 4, c.p AUTORI DEL REATO: SOGGETTI IN POSIZIONE APICALE E SOGGETTI SOTTOPOSTI ALL ALTRUI DIREZIONE Secondo il d.lgs. 231/2001, la società è responsabile per i reati commessi nel suo interesse o a suo vantaggio: da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dell ente stesso (i sopra definiti soggetti in posizione apicale o apicali ; art. 5, comma 1, lett. a), del d.lgs. 231/2001); da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti apicali (i c.d. soggetti sottoposti all altrui direzione o vigilanza; art. 5, comma 1, lett. b), del d.lgs. 231/2001). Appare però opportuno ribadire che la società non risponde, per espressa previsione legislativa (art. 5, comma 2, del d.lgs. 231/2001), se le persone su indicate hanno agito nell interesse esclusivo proprio o di terzi. 3.4 MODIFICHE ALL ENTE Il d.lgs. 231/2001 disciplina il regime della responsabilità patrimoniale dell ente anche in relazione alle vicende modificative dell ente quali la trasformazione, la fusione, la scissione e la cessione d azienda. Secondo l art. 27, comma 1, del d.lgs. 231/2001, dell obbligazione per il pagamento della sanzione pecuniaria risponde l ente con il suo patrimonio o con il fondo comune, laddove la nozione di patrimonio deve essere riferita alle società e agli enti con personalità giuridica, mentre la nozione di fondo comune concerne le associazioni non riconosciute. Tale previsione costituisce una forma di tutela a favore dei soci di società di persone e degli associati ad associazioni, scongiurando il rischio 6

7 che gli stessi possano essere chiamati a rispondere con il loro patrimonio personale delle obbligazioni derivanti dalla comminazione all ente delle sanzioni pecuniarie. La disposizione in esame rende, inoltre, manifesto l intento del Legislatore di individuare una responsabilità dell ente autonoma rispetto non solo a quella dell autore del reato (si veda, a tale proposito, l art. 8 del d.lgs. 231/2001) ma anche rispetto ai singoli membri della compagine sociale. Gli artt del d.lgs. 231/2001 regolano l incidenza sulla responsabilità dell ente delle vicende modificative connesse a operazioni di trasformazione, fusione, scissione e cessione di azienda. Il Legislatore ha tenuto conto di due esigenze contrapposte: da un lato, evitare che tali operazioni possano costituire uno strumento per eludere agevolmente la responsabilità amministrativa dell ente; dall altro, non penalizzare interventi di riorganizzazione privi di intenti elusivi. La Relazione illustrativa al d.lgs. 231/2001 afferma Il criterio di massima al riguardo seguito è stato quello di regolare la sorte delle sanzioni pecuniarie conformemente ai principi dettati dal codice civile in ordine alla generalità degli altri debiti dell ente originario, mantenendo, per converso, il collegamento delle sanzioni interdittive con il ramo di attività nel cui ambito è stato commesso il reato. In caso di trasformazione, l art. 28 del d.lgs. 231/2001 prevede (in coerenza con la natura di tale istituto che implica un semplice mutamento del tipo di società, senza determinare l estinzione del soggetto giuridico originario) che resta ferma la responsabilità dell ente per i reati commessi anteriormente alla data in cui la trasformazione ha avuto effetto. In caso di fusione, l ente che risulta dalla fusione (anche per incorporazione) risponde dei reati di cui erano responsabili gli enti partecipanti alla fusione (art. 29 del d.lgs. 231/2001). L ente risultante dalla fusione, infatti, assume tutti i diritti e obblighi delle società partecipanti all operazione (art bis, primo comma, c.c.) e, facendo proprie le attività aziendali, accorpa altresì quelle nel cui ambito sono stati posti in essere i reati di cui le società partecipanti alla fusione avrebbero dovuto rispondere. L art. 30 del d.lgs. 231/2001 prevede che, nel caso di scissione parziale, la società scissa rimane responsabile per i reati commessi anteriormente alla data in cui la scissione ha avuto effetto. Gli enti beneficiari della scissione (sia totale che parziale) sono solidalmente obbligati al pagamento delle sanzioni pecuniarie dovute dall ente scisso per i reati commessi anteriormente alla data in cui la scissione ha avuto effetto, nel limite del valore effettivo del patrimonio netto trasferito al singolo ente. Tale limite non si applica alle società beneficiarie, alle quali risulta devoluto, anche solo in parte, il ramo di attività nel cui ambito è stato commesso il reato. Le sanzioni interdittive relative ai reati commessi anteriormente alla data in cui la scissione ha avuto effetto si applicano agli enti cui è rimasto o è stato trasferito, anche in parte, il ramo di attività nell ambito del quale il reato è stato commesso. 7

8 L art. 31 del d.lgs. 231/2001 prevede disposizioni comuni alla fusione e alla scissione, concernenti la determinazione delle sanzioni nell eventualità che tali operazioni straordinarie siano intervenute prima della conclusione del giudizio. Viene chiarito, in particolare, il principio per cui il giudice deve commisurare la sanzione pecuniaria, secondo i criteri previsti dall art. 11, comma 2, del d.lgs. 231/2001, facendo riferimento in ogni caso alle condizioni economiche e patrimoniali dell ente originariamente responsabile, e non a quelle dell ente cui dovrebbe imputarsi la sanzione a seguito della fusione o della scissione. In caso di sanzione interdittiva, l ente che risulterà responsabile a seguito della fusione o della scissione potrà chiedere al giudice la conversione della sanzione interdittiva in sanzione pecuniaria, a patto che: (i) la colpa organizzativa che abbia reso possibile la commissione del reato sia stata eliminata, e (ii) l ente abbia provveduto a risarcire il danno e messo a disposizione (per la confisca) la parte di profitto eventualmente conseguito. L art. 32 del d.lgs. 231/2001 consente al giudice di tener conto delle condanne già inflitte nei confronti degli enti partecipanti alla fusione o dell ente scisso al fine di configurare la reiterazione, a norma dell art. 20 del d.lgs. 231/2001, in rapporto agli illeciti dell ente risultante dalla fusione o beneficiario della scissione, relativi a reati successivamente commessi. Per le fattispecie della cessione e del conferimento di azienda è prevista una disciplina unitaria (art. 33 del d.lgs. 231/2001), modellata sulla generale previsione dell art c.c.; il cessionario, nel caso di cessione dell azienda nella cui attività è stato commesso il reato, è solidalmente obbligato al pagamento della sanzione pecuniaria comminata al cedente, con le seguenti limitazioni: (i) è fatto salvo il beneficio della preventiva escussione del cedente; (ii) la responsabilità del cessionario è limitata al valore dell azienda ceduta e alle sanzioni pecuniarie che risultano dai libri contabili obbligatori ovvero dovute per illeciti amministrativi dei quali era, comunque, a conoscenza. Al contrario, resta esclusa l estensione al cessionario delle sanzioni interdittive inflitte al cedente. 3.5 I MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Il D.Lgs. 231 prevede che l adozione del MOGC da parte dell ente sia condizione necessaria, seppure non ancora sufficiente, per ottenere l esonero della responsabilità amministrativa nel caso di commissione di reati di cui al punto 3.1 del presente documento. L articolo 6 del Decreto stabilisce i requisiti dei Modelli di Organizzazione, Gestione e Controllo ai fini esimenti. In particolare è necessario che il MOGC adottato risponda alle seguenti esigenze: individuare le attività nel cui ambito possono essere commessi i reati previsti dal Decreto (risk assessment); prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell Ente in relazione ai reati da prevenire, nonché a formare le Unità Organizzative interessate; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati; 8

9 prevedere obblighi di informazione nei confronti dell Organismo deputato a vigilare sul funzionamento e l osservanza del MOGC; introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello. Una volta adottato il MOGC, si dovrà anche poter fornire prova che esso sia stato efficacemente attuato per prevenire reati della specie di quello verificatosi. Il Decreto prevede una differenziazione dell onere della prova, a seconda del soggetto che compie il reato. Nel caso si tratti di un Soggetto apicale, la Società dovrà dimostrare di avere adottato ed efficacemente attuato il MOGC, dando prova di avere affidato a un Organismo dell Ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza) il compito di vigilare sul funzionamento e sull osservanza del MOGC, anche eventualmente curandone l aggiornamento, e che tale compito sia stato correttamente eseguito. La Società dovrà provare che il reato è stato compiuto dal Soggetto apicale eludendo fraudolentemente i modelli di organizzazione e di gestione. Nel caso in cui, invece, il reato venga commesso da soggetti sottoposti alla direzione o alla vigilanza di un soggetto apicale, ricade sull Autorità giudiziaria l onere di provare l inadeguatezza del MOGC e che la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione e vigilanza da parte degli apicali stessi. 3.6 I MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX ART. 30 DEL D.LGS. 81/08 (TUTELA DELLA SALUTE E DELLA SICUREZZA NEI LUOGHI DI LAVORO) L entrata in vigore del D.Lgs. 9 aprile 2008, n. 81 Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro ha comportato una radicale innovazione della struttura del MOGC, permettendo l integrazione di due tipologie di professionalità, entrambe essenziali e connaturali per lo svolgimento dell attività imprenditoriale, ma fino ad allora rimaste separate: da una parte i professionisti in materia di salute e sicurezza sui luoghi di lavoro (RSPP, consulenti, Medici Competenti, ecc.), dall altra i professionisti in materia di responsabilità amministrativa degli enti e già coinvolti nella predisposizione del MOGC. L art. 300 del D.Lgs. n.81/2008, che ha modificato l art. 25-septies del D.Lgs. n. 231/2001, ha esteso il novero dei reati presupposto per la responsabilità amministrativa degli enti, comprendendo l omicidio colposo e le lesioni gravi o gravissime commesse per violazione o per inosservanza delle norme sulla tutela della salute e sicurezza sul lavoro. L attribuzione della responsabilità, andrà comunque subordinata alla sussistenza della colpa specifica a carico dell ente (ovvero quella condotta commissiva o omissiva cui è associabile un interesse o vantaggio per l ente medesimo). L articolo 30 del D.Lgs. n. 81/2008, che richiama espressamente il D.Lgs. n. 231/2001, prevede però l esclusione della responsabilità per l ente che abbia adottato ed efficacemente attuato un Modello di Organizzazione, Gestione e Controllo idoneo ad assicurare la conformità ai requisiti ed obblighi giuridici in materia di salute e sicurezza sui luoghi di lavoro. Nello specifico, l articolo 30 del D. Lgs n. 81/2008 statuisce che il Modello di Organizzazione, Gestione e Controllo, debba assicurare l adempimento di tutti gli obblighi giuridici relativi: 9

10 al rispetto degli standard tecnico-strutturali di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici; alle attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti; alle attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza; alle attività di sorveglianza sanitaria; alle attività di informazione e formazione dei lavoratori; alle attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori; alla acquisizione di documentazioni e certificazioni obbligatorie di legge; alle periodiche verifiche dell'applicazione e dell'efficacia delle procedure adottate. Per tutte le attività sopra elencate, il MOGC deve prevedere idonei sistemi di registrazione dell avvenuta attuazione e inoltre, in ragione della natura e dimensioni dell'organizzazione e dal tipo di attività svolta, un'articolazione di funzioni che assicuri le competenze tecniche e i poteri necessari per la verifica, la valutazione, la gestione e il controllo del rischio, anche in un ottica di costante aggiornamento per il mantenimento nel tempo delle condizioni di idoneità delle misure adottate. Infine è richiesto che il MOGC preveda un idoneo sistema di controllo sull'attuazione dello stesso, nonché un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure ivi indicate. Il riesame e l'eventuale modifica del MOGC dovranno essere certamente adottati, ogni qual volta siano scoperte violazioni significative delle norme relative alla prevenzione degli infortuni e all'igiene sul lavoro, ovvero in occasione di mutamenti nell'organizzazione e nell'attività in relazione al progresso scientifico e tecnologico. 3.7 LA SCELTA DI VOLKSWAGEN BANK L adozione e l efficace attuazione del MOGC costituiscono, ai sensi dell art. 6, comma 1, lett. a) del Decreto, atti di competenza e di emanazione dell organo dirigente. Sebbene l adozione di Modelli di Organizzazione, Gestione e Controllo sia prevista dal Decreto come facoltativa e non obbligatoria, la Società - sensibile all esigenza di assicurare condizioni di correttezza e di trasparenza nella conduzione degli affari e delle attività aziendali, a tutela della propria posizione e immagine, nonché del lavoro dei propri dipendenti ha ritenuto conforme alle proprie politiche aziendali procedere all adozione ed all attuazione del presente MOGC e provvedere nel tempo al relativo aggiornamento. Il compito di vigilare sull aggiornamento del MOGC, in relazione a nuove ipotesi di reato o ad esigenze di adeguamento che dovessero rivelarsi necessarie, è affidato dal Comitato di Direzione all Organismo di Vigilanza, coerentemente a quanto previsto dall art. 6, comma 1 lettera b) del Decreto. È cura del Comitato Direttivo procedere all attuazione del Modello con apposita Delibera. 10

11 4 LA METODOLOGIA SEGUITA PER L INDIVIDUAZIONE DELLE ATTIVITÀ SENSIBILI [ ] 5 IL MOGC 5.1 I RIFERIMENTI In considerazione della sensibilità del management di VOLKSWAGEN BANK per i temi della conformità alle prescrizioni di legge e di settore, il Comitato Direttivo ha deliberato l attuazione di un progetto finalizzato all adozione di uno specifico MOGC atto ad esentare la Società da eventuali responsabilità amministrative. Tra i principali strumenti giuridici che sono stati utilizzati per la definizione del presente MOGC si annoverano, oltre alle norme codicistiche di natura civile e penale, le Linee Guida elaborate da ABI in occasione dell entrata in vigore del Decreto, e costantemente aggiornate. Il documento di ABI, che si configura come raccolta di best practices nell ottica di predisporre modelli organizzativi efficaci, ha svolto un importante ruolo ispiratore nella costruzione del MOGC e dell organismo di controllo, seppure si sia comunque ritenuto necessario calare le indicazioni fornite all interno dello specifico contesto organizzativo della Società. 5.2 GLI OBIETTIVI Con l'introduzione del MOGC, VOLKSWAGEN BANK si è posta l'obiettivo di predisporre un sistema strutturato ed organico di procedure ed attività di controllo (ex ante ed ex post) per la prevenzione e la consapevole gestione del rischio di commissione dei reati, mediante l individuazione dei processi sensibili e la loro conseguente proceduralizzazione. Lo svolgimento di tali attività consente di: informare tutti coloro che operano in nome e per conto della Società nelle aree di attività a rischio della possibilità di incorrere in un comportamento sanzionabile sul piano disciplinare, in caso di violazione delle disposizioni previste in seguito all adozione del MOGC; rendendo altresì noto che, qualora il comportamento tenuto si configuri come illecito ai sensi del D.Lgs. n. 231/01, sarebbe passibile di sanzioni sul piano penale ed amministrativo, non solo nei propri confronti ma anche nei confronti della Società; ribadire che tali forme di comportamento illecito sono fortemente condannate dalla Società in quanto (anche nel caso in cui la Società fosse apparentemente in condizione di trarne vantaggio) sono comunque contrarie, oltre che alle disposizioni di legge, anche ai principi etici cui la Società si attiene nell espletamento della propria missione aziendale; intervenire tempestivamente per prevenire o contrastare la commissione dei reati stessi grazie ad un azione di monitoraggio sulle aree di attività a rischio. 5.3 LA STRUTTURA DEL MOGC Elementi fondamentali del MOGC di VOLKSWAGEN BANK sono: 11

12 il Codice Etico adottato dalla Società, che rappresenta l insieme dei valori, principi e linee di comportamento che ispirano l intera operatività della Società; la valutazione del rischio di commissione dei reati nell ambito dello svolgimento delle attività sensibili individuate, il cui dettaglio è contenuto nel Data Base dei rischi 231 che ricomprende tutti i processi sensibili ed i relativi rischi 231. La mappatura di tali processi ha comportato un identificazione puntuale delle possibili condotte attraverso le quali sia teoricamente possibile la commissione dei reati compresi nell ambito del Decreto; Il documento attestante l avvenuta analisi dei rischi con individuazione delle Aree ritenute a possibile commissione dei reati 231, documento denominato : Analisi delle attività sensibili ; il codice di comportamento e sanzionatorio adottato dalla Società. Attraverso questo elemento sono definite le disposizioni disciplinari ritenute idonee a sanzionare il mancato rispetto delle misure indicate nel MOGC secondo un principio di idonea deterrenza; il dettaglio dei poteri di firma, procura e rappresentanza così come sono articolati nella Società; la pianificazione e programmazione della formazione del personale, al fine di diffondere in maniera adeguata il MOGC e di sensibilizzare il personale affinché ne siano compresi gli elementi caratteristici, lo scopo e le modalità di applicazione, così da permetterne l efficace applicazione; l insieme dei protocolli 231. Con questo termine si intendono specifici meccanismi, procedure e protocolli di prevenzione e controllo, posti in essere con riferimento alle attività aziendali a rischio reato, così da individuare eventuali implementazioni finalizzate a garantire l adeguamento alle prescrizioni del Decreto; la costituzione dell Organismo di Vigilanza secondo criteri di competenza, indipendenza e continuità di azione, nonché la definizione di un Regolamento dell Organismo che attribuisca al medesimo specifici compiti di controllo sull efficace e corretto funzionamento del MOGC; la definizione dei flussi informativi da/per l Organismo di Vigilanza. I Destinatari del MOGC, nello svolgimento delle rispettive attività, si devono attenere: alle disposizioni legislative e regolamentari, applicabili alle diverse fattispecie; alle norme generali e alle Linee di condotta emanate ai fini del D.Lgs. 231; alle deliberazioni del Comitato Direttivo; alla normativa interna. 6 IL SISTEMA ORGANIZZATIVO I controlli coinvolgono, con ruoli e a livelli diversi, il Comitato Direttivo, il management e tutto il personale e rappresentano una componente imprescindibile dell attività quotidiana svolta dalla Società. 12

13 E espressa volontà di VOLKSWAGEN BANK che i protocolli previsti dal Decreto, ferma restando la loro finalità peculiare, vadano integrati nel sistema di controlli interni già operante presso la Società. Tale sistema, unitamente agli eventuali adattamenti che si rendessero necessari, rappresenta il punto di partenza al fine di raggiungere lo scopo di prevenire i reati contemplati dal Decreto. L adozione del presente MOGC è assunta con la convinzione che la sua adozione ed efficace attuazione non solo permettano alla Società di beneficiare dell esimente prevista dal D.Lgs. 231, ma consentano altresì, nei limiti previsti dallo stesso, di migliorare la corporate governance, limitando il rischio di comportamenti non a norma o che possano avere risvolti in termini di immagine ed economici. VOLKSWAGEN BANK ha inteso così dotarsi di un MOGC realmente creato a misura della propria realtà aziendale, in un ottica di opportunità, per passare ad un vero sistema di controllo interno integrato ed efficace. 6.1 IL SISTEMA DI GESTIONE AZIENDALE VOLKSWAGEN BANK ha definito e documentato il proprio sistema organizzativo ed i relativi meccanismi di funzionamento, che vengono costantemente aggiornati per rispondere alle esigenze strategiche ed organizzative aziendali e per adeguarsi ai requisiti in materia di assetti organizzativi e procedure amministrative richiesti dalla normativa di legge e di settore. La documentazione organizzativa aziendale descrive la struttura organizzativa e i processi di lavoro aziendali, i compiti e le responsabilità delle unità organizzative. I principali documenti organizzativi aziendali sono rappresentati da: il sistema delle deleghe attribuite ai diversi Organi societari; i verbali del Comitato Direttivo; il Repository dei processi organizzativi aziendali (ARIS); il Sistema di Gestione per la Salute e Sicurezza dei Lavoratori; il Codice Etico; i documenti interni relativi che disciplinano la struttura delle responsabilità (Job Description) e l organigramma aziendale. Con riferimento ai requisiti dell art. 6 comma 2 del D.Lgs. 231, si è proceduto a verificare la rispondenza del sistema organizzativo ai requisiti espressi dalle lettere a), b) e c) della norma, relativi all individuazione delle attività nel cui ambito possono essere commessi i reati, alla previsione di specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni della Società in relazione ai reati da prevenire ed all individuazione di modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati. 6.2 LE ATTIVITÀ SENSIBILI (EX ART. 6 COMMA 2 LETTERA A) La mappatura delle attività aziendali a rischio reato ai sensi del Decreto consente di definire i comportamenti che devono essere rispettati nello svolgimento di tali attività, al fine di garantire un sistema di controlli interni idoneo a prevenire la commissione dei reati. Tali comportamenti devono essere adottati nell ambito dei processi aziendali, particolarmente in quelli sensibili. Le regole comportamentali sono parte integrante del Codice Etico; le regole operative sono presenti nella regolamentazione interna di processo nonché rilevabili nelle prassi consolidate. 13

14 Per ogni attività a potenziale rischio di commissione di reati sono state approfondite, con la collaborazione dei Responsabili delle strutture organizzative coinvolte, le possibili fattispecie di commissione dei reati individuati nello svolgimento delle attività sensibili, l eventuale coinvolgimento di enti pubblici, la normativa di riferimento, esterna e interna, e le modalità operative in vigore, la presenza ed il livello di efficacia delle attività di controllo e delle altre contromisure organizzative, identificando altresì le eventuali opportunità di miglioramento. Le risultanze dell analisi, riassunte in un documento denominato Analisi delle attività sensibili ex art. 6 comma 2 punto a), sono validate dal Comitato Direttivo e sottoposte periodicamente allo stesso, e costituiscono punto di riferimento per le attività di integrazione/miglioramento dell attuale assetto organizzativo e di controllo interno relativamente alle materie di cui al D.Lgs Con riferimento ai Soggetti apicali, particolarmente esposti ad alcune tipologie di reato per le specifiche responsabilità assegnate, il profilo di rischio del Comitato Direttivo è stato oggetto di una valutazione ai fini dell identificazione delle aree di rischio e della sensibilizzazione di ciascun Soggetto Apicale circa la possibile commissione di reati nello svolgimento dei compiti a lui affidati. 6.3 LA FORMAZIONE E L ATTUAZIONE DEL PROCESSO DECISIONALE (EX ART. 6 COMMA 2 LETTERA B) Il MOGC prevede che le fasi attraverso cui si determinano le decisioni dell ente, in relazione ai reati da prevenire, siano documentate e verificabili attraverso specifici protocolli 231 adottati dalla Società e resi noti alle strutture organizzative coinvolte attraverso un idoneo processo di comunicazione. L analisi delle attività sensibili ai fini del D.Lgs. 231 ha previsto l individuazione, in relazione ad ogni singola attività, del riferimento esplicito al corpo normativo aziendale, o delle prassi operative attualmente in vigore: è stato così possibile valutare l idoneità di tali procedure e prassi operative con riferimento alla capacità di prevenzione dei comportamenti illeciti, nell ottica di predisporre un adeguato sistema di mitigazione e prevenzione del rischio. Per ogni attività e decisione aziendale è previsto lo svolgimento di più controlli da parte di VOLKSWAGEN BANK, tra cui figurano anche quelli di natura contabile effettuati dalla Società di Revisione. 6.4 LE MODALITÀ DI GESTIONE DELLE RISORSE FINANZIARIE (EX ART. 6 COMMA 2 LETTERA C) In ottemperanza a quanto disposto dall art. 6 comma 2 lett. c) del D.Lgs 231, VOLKSWAGEN BANK ha disciplinato le modalità di gestione delle risorse finanziarie, idonee ad impedire la commissione di reati, attraverso il sistema di procure e deleghe. Per una visione più approfondita del documento richiamato si rimanda all allegato 4 Poteri di Firma. 7 L'ORGANISMO DI VIGILANZA Una delle condizioni previste dal Decreto 231 affinché la Società possa essere esonerata dalla responsabilità derivante dalla commissione dei reati previsti, è l affidamento, da parte dell organo dirigente, ad un Organismo dell ente, dotato di autonomi poteri di iniziativa e di controllo (art. 6, comma 1, lett. b), del compito di vigilare sul funzionamento e l osservanza del MOGC e di curarne l aggiornamento. Tale Organismo di Vigilanza deve essere costituito secondo i seguenti criteri: competenza professionale dei suoi membri, che devono possedere specifiche cognizioni tecniche per l espletamento delle funzioni assegnate; 14

15 autonomia decisionale nei poteri di iniziativa e controllo ed indipendenza rispetto alla Società; continuità di azione con lo scopo di garantire l efficace applicazione del MOGC. In attuazione delle disposizioni previste dal Decreto, il Comitato Direttivo di VOLKSWAGEN BANK ha quindi deliberato di costituire un Organismo di Vigilanza con la responsabilità di vigilare sul funzionamento e l'osservanza del MOGC, individuare gli eventuali interventi correttivi e proporne l aggiornamento (allegato n.2 Regolamento dell Organismo di Vigilanza ). Le principali attività dell'organismo consistono nel: coordinare l'attività di determinazione dei comportamenti aziendali e delle procedure atte a prevenire il verificarsi di condotte illecite ai sensi del Decreto, verificandone l aderenza alle prescrizioni del MOGC; assistere il personale aziendale (dipendenti e collaboratori esterni) nella risoluzione dei problemi riscontrati nell'attuazione del MOGC; riferire periodicamente al Comitato Direttivo circa lo stato di attuazione del MOGC; valutare l adeguatezza del sistema dei controlli ai fini della prevenzione dei comportamenti illeciti o in contrasto con il MOGC; definire e comunicare, previa informativa al Comitato Direttivo, alle strutture aziendali i flussi informativi che debbono essergli inviati con indicazione dell unità organizzativa responsabile dell invio, della periodicità e delle modalità di comunicazione; ricevere segnalazioni da parte del personale delle diverse aree aziendali in merito ad eventuali anomalie; ricevere notizie dai vari responsabili, dell insorgere di nuovi rischi nelle rispettive aree di competenza; proporre agli organi competenti l'attivazione di procedimenti disciplinari per l'irrogazione di sanzioni a carico dei soggetti che siano stati inadempienti e abbiano tenuto condotte non conformi alla normativa interna e esterna. verificare il mantenimento nel tempo dei requisiti di solidità e funzionalità del MOGC, curandone l aggiornamento in caso di significative variazioni della struttura organizzativa e di modifiche ai processi aziendali, nonché di adeguamenti normativi (quali l introduzione di nuove fattispecie di illecito nella lista dei reati 231). L affidamento dei compiti all Organismo ed il loro corretto svolgimento sono, dunque, presupposti indispensabili per l esclusione della responsabilità, sia che il reato sia stato commesso dai Soggetti Apicali, che dai soggetti sottoposti all altrui direzione. 7.1 GLI OBBLIGHI DI INFORMAZIONE NEI CONFRONTI DELL'ORGANISMO DI VIGILANZA (EX ART. 6 COMMA 2 PUNTO D) L Organismo di Vigilanza ha la responsabilità di vigilare sul funzionamento e l'osservanza del MOGC e di provvedere al relativo aggiornamento. Per svolgere efficacemente questo compito, l art. 6 c.2 lett. d) del Decreto 231 richiede che siano previsti obblighi di informazione nei confronti dell Organismo: essi rappresentano uno strumento finalizzato ad agevolare l attività di vigilanza sull efficacia del 15

16 MOGC ed a consentire l accertamento a posteriori delle cause che ne hanno pregiudicato la capacità preventiva e reso possibile la sua eventuale violazione o, nei casi più gravi, il verificarsi di un reato. A tal fine l Organismo di Vigilanza: ha la possibilità di accedere a tutti i documenti ed informazioni aziendali rilevanti per lo svolgimento delle funzioni ad esso attribuite, che verranno trattati nel pieno rispetto della disciplina di cui al D.Lgs. n. 196/2003 (Codice della Privacy); può richiedere ai dipendenti e collaboratori di fornire tempestivamente le informazioni, i dati e/o le notizie necessarie per individuare aspetti connessi alle varie attività aziendali rilevanti ai sensi del MOGC e per la verifica dell effettiva attuazione dello stesso; riceve periodicamente gli eventuali flussi informativi definiti, le eventuali comunicazioni da parte dei dipendenti di avvio di procedimento giudiziario a loro carico per reati previsti dal Decreto, i rapporti predisposti nell ambito delle attività di controllo da funzioni interne e/o da soggetti esterni dai quali possano emergere fatti, atti, eventi od omissioni con profili di criticità rispetto alle norme del Decreto 231; ricevere tempestiva comunicazione di eventuali accertamenti e/o verifiche da parte dell Autorità pubblica. Al fine di consentire la segnalazione da parte dei Destinatari del presente MOGC di eventuali notizie relative alla commissione o al tentativo di commissione dei reati, oltre che di violazione delle regole previste dal MOGC stesso, sono garantiti idonei canali di comunicazione nei confronti dell Organismo di Vigilanza, anche tramite uno specifico indirizzo di posta elettronica reso noto al personale di VOLKSWAGEN BANK. Ogni dipendente/collaboratore è tenuto a comunicare, tempestivamente, all Organismo di Vigilianza, ogni situazione a rischio di commissione di un reato previsto dal D.Lgs. 231/2001 (anche in caso di reato tentato). L obbligo indicato permane anche nel caso in cui il dipendente/collaboratore sia venuto a conoscenza di fatti, azioni o tentativi compiuti da dealer/fornitori con contratti ancora in essere con VOLKSWAGEN BANK. 8 IL SISTEMA DISCIPLINARE (EX ART. 6 COMMA 2 LETTERA E) [ ] 9 LINEE DI CONDOTTA 231 [ ] 16

17 10 FORMAZIONE, DIFFUSIONE, RIESAME E AGGIORNAMENTO DEL MOGC Affinché il MOGC possa essere efficace, è necessario che tutti i Destinatari siano a conoscenza del suo contenuto: VOLKSWAGEN BANK ha predisposto appositi interventi di comunicazione e formazione per tutto il personale coinvolto, con lo scopo di garantire la diffusione nell organizzazione dei principi ispiratori e delle regole di condotta. Al fine di verificare l'effettività, l'adeguatezza, il mantenimento nel tempo dei requisiti di efficacia e funzionalità, è prevista un attività di riesame svolta periodicamente dall Organismo di Vigilanza, a cui spetta il compito di curare l aggiornamento del MOGC. L Organismo di Vigilanza, nello svolgimento delle sue funzioni, si avvale delle competenti strutture aziendali attraverso il coordinamento della Presidenza. L Organismo inoltre riferisce periodicamente al Comitato Direttivo sullo stato di applicazione del MOGC e sulle eventuali necessità di aggiornamento, proponendo le eventuali integrazioni e/o modifiche ritenute idonee. L attività di riesame e di eventuale aggiornamento del MOGC è prevista con cadenza minima annuale, salvo il caso in cui vi sia la necessità di intervenire tempestivamente, ovvero: qualora sia modificato il novero di reati ricompresi nell ambito del D.Lgs 231, con implicazioni rilevanti per le attività svolte da VOLKSWAGEN BANK; qualora nella Società siano svolte nuove attività sensibili o vi siano significative modifiche organizzative; qualora vi siano evidenze di carenze nel MOGC tali per cui sia necessario un tempestivo adeguamento. 17

18 PARTE SPECIALE 11 I PROTOCOLLI 231 [ ] ALLEGATI Allegato 1 I reati previsti dal D.Lgs. 231/2001 Allegato 2 Regolamento dell Organismo di Vigilanza Allegato 3 Comunicazione standard etici Allegato 4 Poteri di firma Allegato 5 Risk Assessment Allegato 6 Database dei rischi